DFN-CERT

Advisory-Archiv

2016-1068: Apache Commons FileUpload, Apache Tomcat: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie:

Version 1 (2016-07-01 11:19)
Neues Advisory
Version 2 (2016-07-04 12:40)
Debian stellt Sicherheitsupdates für die Distributionen Jessie (stable) und Stretch (testing) Sicherheitsupdates für Tomcat (tomcat7) bereit.
Version 3 (2016-07-07 11:23)
Canonical veröffentlicht für die Distribution Ubuntu 16.04 LTS ein Sicherheitsupdate zur Korrektur der Tomcat FileUpload Schwachstelle.
Version 4 (2016-08-15 12:14)
Für Fedora 23, 24 und 25 stehen zur Korrektur der Fileupload-Schwachstelle Sicherheitsupdates für Tomcat in der Version 8.0.36 im Status 'testing' bereit.
Version 5 (2016-08-25 13:05)
IBM bestätigt die Schwachstelle für die IBM WebSphere Application Server Versionen Liberty, 9.0, 8.5 bis 8.5.5.10, 8.0 bis 8.0.0.12 sowie 7.0 bis 7.0.0.41 und stellt verschiedene Interim Fixes als Sicherheitsupdates zur Verfügung. Der Hersteller teilt mit, dass diese Schwachstelle mit IBM WebSphere Application Server Liberty 3Q Fix Pack (16.0.0.3), bzw. den Fix Packs 9.0.0.1, 8.5.5.11, 8.0.0.13 und 7.0.0.43 oder jeweils später behoben sein wird und nennt Daten für deren Verfügbarkeit.
Version 6 (2016-10-18 11:29)
Red Hat stellt für Red Hat Enterprise Linux 5, 6 und 7 die Red Hat JBoss Enterprise Application Platform 6.4.11 als Sicherheitsupdate bereit und aktualisiert zur Gewährleistung der Kompatiblität zur neuen Programmversion auch die 'jboss-ec2-eap'-Pakete für die Red Hat JBoss Enterprise Application Platform für Red Hat Enterprise 6.
Version 7 (2017-02-15 18:49)
IBM bestätigt die Schwachstelle für die Appliances IBM Security Access Manager Web 8.0, IBM Security Access Manager for Mobile 8.0 und IBM Security Access Manager 9.0 (Nachfolger der IBM Security Access Manager for Web Appliance) und stellt für die 8er Versionen Upgrades auf Version 8.0.1.5 der Systemsoftware und für die 9er Version ein Upgrade auf Version 9.0.2.1 zur Behebung der Schwachstelle bereit.
Version 8 (2017-07-19 12:27)
Die Schwachstelle in Apache Tomcat betrifft auch die Oracle REST Data Services. Als Sicherheitsupdate steht die Version 3.0.10.25.02.36 der Software zur Verfügung.

Betroffene Software

Middleware
Netzwerk
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Hardware
Netzwerk
HP
IBM
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein entfernter, nicht authentifizierter Angreifer kann eine Schwachstelle ausnutzen, indem er wiederholt bestimmte FileUpload-Anfragen sendet und damit einen Denial-of-Service (DoS)-Zustand verursachen.

Für die Distributionen Debian Jessie (stable) und Stretch (testing) stehen Sicherheitsupdates bereit.

Schwachstellen:

CVE-2016-3092

Schwachstelle in Apache Tomcat ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.